本文目录导读:

关基安全CISP-ET(国家关键信息基础设施安全保护人员-电子取证及溯源方向)涉及的“道德控制框架”,通常是指在该领域专业人员的执业过程中,为平衡技术手段与法律伦理、数据隐私与国家安全、取证有效性与程序正义而建立的一套行为准则与规范体系。
由于CISP-ET是中国信息安全测评中心针对电子取证与溯源推出的专项认证,其道德控制框架主要遵循《网络安全法》、《关键信息基础设施安全保护条例》、《个人信息保护法》以及司法部关于电子数据取证的相关规定。
以下是关基安全CISP-ET道德控制框架的核心维度及其操作要点:
核心原则(四大基石)
- 合法性原则(Lawfulness)
- 所有取证与溯源行为必须有明确的法律授权(如《网络安全法》第21条、第38条规定的监测与处置权限)。
- 严禁“先取证后授权”或使用未被认证的工具/方法(如非授权的Rootkit扫描、主动渗透取证)。
- 必要性原则(Necessity)
- 取证范围应严格限定在“最小必要”范围内:只采集与网络安全事件直接相关的数据,避免连带采集无关的个人信息或业务数据。
- 对于敏感数据(如用户通讯内容、生物特征),需评估是否可通过日志、元数据、审计记录等间接证据替代直接采集。
- 关联性原则(Relevance)
- 电子证据必须与攻击行为、攻击链路、安全事件具有直接逻辑关联,孤立的、无法证明与攻击行为存在因果关系的证据应被排除。
- 溯源分析时,应区分“误报/假阳性事件”与“真实攻击”,避免因误判导致对系统或个人的不当处置。
- 完整性原则(Integrity)
- 证据链必须保证原始性、不可篡改性:强制使用SHA-256/512哈希校验、硬件写保护、区块链存证等技术手段。
- 任何对原始数据进行复制、转换、恢复(如恢复已删除文件)的操作,必须全程记录操作日志并有两名以上持证人员在场(或远程签名确认)。
具体控制维度(操作规范)
数据隐私保护控制
- 脱敏处理:在取证过程中,若不可避免接触到非涉案个人信息(如员工私人邮箱、个人云盘内容),应立即进行脱敏或加密存储,禁止外泄。
- 分级访问:取证数据只能由持有CISP-ET认证且在项目中明确授权的分析人员访问,并设置严格的访问控制策略(如基于角色的ACL)。
- 销毁机制:案件结束后,除依法需作为长期保存的证据外,非必要数据应在规定时限内(通常为案件结案后3-6个月)进行安全销毁,出具销毁记录。
取证程序控制
- 双人见证与记录:任何针对关基系统的取证操作(如物理提取硬盘、抓取内存镜像)必须由至少两名持证人员共同完成并同步录像/录屏。
- 抗干扰规程:在取证过程中,应遵循“先固定、后分析”原则,禁止直接在原始介质上执行可能改变数据状态的操作(如修改系统时间、安装软件)。
- 工具认证:使用的取证工具(如FTK Imager、EnCase、X-Ways等)必须为合法授权的正版版本,且具有行业认可的有效性验证(如NIST CFTT测试)。
溯源分析伦理控制
- 溯源边界控制:溯源分析应严格限制在受攻击的关基系统范围内,禁止利用已发现的漏洞反向渗透(如:发现攻击者C2,不得自行控制C2服务器去攻击其他无辜节点)。
- 归因审慎原则:面对溯源结果(如IP地址、攻击手法、暗网ID),除非达到“司法证明标准”(如:获取了攻击者的私钥、真实身份物证),否则仅能作为“高度可疑线索”,严禁公开指认或采取报复性行动。
- 误报容忍度:在紧急溯源中,允许存在一定误判(如将正常运维误判为攻击),但必须在事后报告中明确标注“置信度”并提供复查机制。
企业/机构内部义务控制
- 知情同意告知:在采取取证措施前(如安装探针、抓取流量),应向企业/机构的网信办、法务部门及受影响业务部门(在保密前提下)通报操作范围与影响。
- 社会责任规避:不得因溯源分析导致关基系统服务中断(金融交易、医疗系统、电网调度等),必要情况下需先申请运行维护窗口或启用备用系统。
- 证据链移交:向执法部门移交证据时,必须完成《电子证据移交清单》并附完整的MD5/SHA-1哈希值校验报告,确保链上每一步都有清晰的责任人签字。
违规行为与处罚
根据CISP-ET的道德控制框架,以下行为被视为严重违规,可能导致吊销资质、法律追责:
- 数据滥用:将取证中获得的敏感数据用于非案件目的(如个人项目、黑产交易)。
- 越权操作:未经授权对关基系统进行“蜜罐反制”或对第三方系统进行主动扫描。
- 证据污染:因操作失误(如未写保护直接对原始硬盘进行格式化)导致关键证据丢失或被篡改。
- 虚假报告:出于利益或帮客户“洗白”的目的,篡改溯源报告中的关键时间戳、攻击源IP或攻击路径。
框架在关基保护中的价值
该框架本质上是对“技术能力”与“社会责任”的再平衡,在关基安全领域(如国家级APT防御、勒索病毒应急响应),单纯依赖技术能力可能导致隐私侵犯、程序违法甚至引发外交/法律纠纷,道德控制框架确保了:
- 取证结果在法庭/监管部门面前具有可采性(合法的证据)。
- 溯源行为本身不构成新的安全威胁(如因溯源破坏系统)。
- 分析人员的判断基于逻辑与事实,而非个人情绪或外部压力。
CISP-ET的道德控制框架可以概括为:“取证有据、溯源有度、隐私有界、程序有矩”,它要求专业人员不仅要掌握电子取证的底层技术(磁盘分析、内存取证、网络流分析),更要在合法性、程序正义与风险控制的约束下进行工作,这是关基保护从业人员区别于普通黑客的核心标志。